Исследователи компании обнаружили новый фишинговый набор Salty2FA, действующий по модели «фишинг как услуга» (PhaaS). Этот фреймворк представляет собой одну из наиболее опасных угроз, выявленных в текущем году, и предназначен для обхода многофакторной аутентификации с целью захвата корпоративных учетных записей.
Ключевой особенностью Salty2FA является его способность обходить несколько типов двухфакторной аутентификации, включая push-уведомления, коды из SMS-сообщений и голосовые вызовы. Это достигается за счет многоэтапной цепочки выполнения атаки и использования инфраструктуры, спроектированной для уклонения от стандартных средств защиты. Система в реальном времени перехватывает и извлекает как учетные данные для входа, так и коды 2FA.
Атаки с использованием Salty2FA нацелены преимущественно на предприятия в США и Европейском союзе. В Соединенных Штатах основной удар приходится на секторы финансов, здравоохранения, правительственные учреждения, логистику, энергетику, IT-консалтинг, образование и строительство.
В Европе целями являются компании из Великобритании, Германии, Испании, Италии, Греции и Швейцарии. Здесь атакам подвергаются отрасли телекоммуникаций, химической промышленности, энергетики (включая солнечную), промышленного производства, недвижимости и консалтинга. Угроза также зафиксирована в Индии, Канаде, Франции и странах Латинской Америки, где целями становятся логистические, IT и металлургические компании.
Согласно данным, полученным из песочницы и систем Threat Intelligence, первые следы активности Salty2FA могут датироваться мартом-апрелем 2025 года. Угроза набрала обороты в июне 2025 года, а подтвержденные активные кампании проводятся с конца июля 2025 года и продолжаются по настоящее время. Ежедневно система генерирует десятки новых сессий для анализа.
Типичная атака начинается с фишингового электронного письма. В качестве приманки используется сообщение с темой, создающей ощущение срочности, например, «Запрос на внешнюю проверку: Корректировка платежа за 2025 год». Ссылка в письме перенаправляет жертву на поддельную страницу входа, имитирующую сервис Microsoft. Для обхода автоматизированных фильтров страница входа защищена проверками Cloudflare.
После того как пользователь вводит свой логин и пароль на фишинговой странице, эти данные немедленно собираются и отправляются на серверы злоумышленников. На следующем этапе страница запрашивает у жертвы код двухфакторной аутентификации. Как только код введен, он также перехватывается, что позволяет злоумышленникам завершить захват учетной записи.
Для противодействия подобным угрозам центрам мониторинга безопасности (SOC) рекомендуется сосредоточиться на поведенческом обнаружении, анализируя структуру доменов и логику страниц, а не только статические индикаторы компрометации (IOC). Подозрительные электронные письма следует анализировать в песочнице для получения полной картины атаки в реальном времени.
Необходимо ужесточать политики многофакторной аутентификации, отдавая предпочтение токенам на основе приложений или аппаратным ключам вместо менее защищенных методов, таких как SMS и голосовые вызовы. Важно проводить обучение сотрудников, чтобы они с подозрением относились к электронным письмам с финансовыми темами, такими как «корректировка платежа» или «выписка по счету».
Интерактивная песочница используется более чем 15 000 предприятий по всему миру. Данные показывают, что совмещение интерактивного анализа и автоматизации повышает эффективность SOC в три раза. Скорость расследования инцидентов увеличивается до 50%, сокращая время с нескольких часов до минут. 94% пользователей сообщают об ускорении процесса сортировки угроз, а количество эскалаций инцидентов с первого на второй уровень поддержки снижается на 30%. Платформа обеспечивает видимость 88% угроз менее чем за 60 секунд.
Изображение носит иллюстративный характер
Ключевой особенностью Salty2FA является его способность обходить несколько типов двухфакторной аутентификации, включая push-уведомления, коды из SMS-сообщений и голосовые вызовы. Это достигается за счет многоэтапной цепочки выполнения атаки и использования инфраструктуры, спроектированной для уклонения от стандартных средств защиты. Система в реальном времени перехватывает и извлекает как учетные данные для входа, так и коды 2FA.
Атаки с использованием Salty2FA нацелены преимущественно на предприятия в США и Европейском союзе. В Соединенных Штатах основной удар приходится на секторы финансов, здравоохранения, правительственные учреждения, логистику, энергетику, IT-консалтинг, образование и строительство.
В Европе целями являются компании из Великобритании, Германии, Испании, Италии, Греции и Швейцарии. Здесь атакам подвергаются отрасли телекоммуникаций, химической промышленности, энергетики (включая солнечную), промышленного производства, недвижимости и консалтинга. Угроза также зафиксирована в Индии, Канаде, Франции и странах Латинской Америки, где целями становятся логистические, IT и металлургические компании.
Согласно данным, полученным из песочницы и систем Threat Intelligence, первые следы активности Salty2FA могут датироваться мартом-апрелем 2025 года. Угроза набрала обороты в июне 2025 года, а подтвержденные активные кампании проводятся с конца июля 2025 года и продолжаются по настоящее время. Ежедневно система генерирует десятки новых сессий для анализа.
Типичная атака начинается с фишингового электронного письма. В качестве приманки используется сообщение с темой, создающей ощущение срочности, например, «Запрос на внешнюю проверку: Корректировка платежа за 2025 год». Ссылка в письме перенаправляет жертву на поддельную страницу входа, имитирующую сервис Microsoft. Для обхода автоматизированных фильтров страница входа защищена проверками Cloudflare.
После того как пользователь вводит свой логин и пароль на фишинговой странице, эти данные немедленно собираются и отправляются на серверы злоумышленников. На следующем этапе страница запрашивает у жертвы код двухфакторной аутентификации. Как только код введен, он также перехватывается, что позволяет злоумышленникам завершить захват учетной записи.
Для противодействия подобным угрозам центрам мониторинга безопасности (SOC) рекомендуется сосредоточиться на поведенческом обнаружении, анализируя структуру доменов и логику страниц, а не только статические индикаторы компрометации (IOC). Подозрительные электронные письма следует анализировать в песочнице для получения полной картины атаки в реальном времени.
Необходимо ужесточать политики многофакторной аутентификации, отдавая предпочтение токенам на основе приложений или аппаратным ключам вместо менее защищенных методов, таких как SMS и голосовые вызовы. Важно проводить обучение сотрудников, чтобы они с подозрением относились к электронным письмам с финансовыми темами, такими как «корректировка платежа» или «выписка по счету».
Интерактивная песочница используется более чем 15 000 предприятий по всему миру. Данные показывают, что совмещение интерактивного анализа и автоматизации повышает эффективность SOC в три раза. Скорость расследования инцидентов увеличивается до 50%, сокращая время с нескольких часов до минут. 94% пользователей сообщают об ускорении процесса сортировки угроз, а количество эскалаций инцидентов с первого на второй уровень поддержки снижается на 30%. Платформа обеспечивает видимость 88% угроз менее чем за 60 секунд.
